收集 Radware WAF 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Google 安全运营转发器收集 Radware Web 应用防火墙 (WAF) 日志。解析器使用 Grok 模式从 Radware 防火墙 syslog 消息中提取字段,并将其映射到 UDM。它可以处理各种日志格式,根据攻击详情填充安全结果字段,并根据 attack_id
对事件进行分类,从而丰富要提取到 Google SecOps 的数据。
准备工作
- 确保您有一个 Google Security Operations 实例。
- 确保您使用的是 Windows 2016 或更高版本,或者使用了带有
systemd
的 Linux 主机。 - 如果在代理后面运行,请确保防火墙端口处于打开状态。
- 确保在 AppWall 上安装并配置了 Radware Vision Reporter。
- 确保您拥有对 Radware WAF 门户的特权访问权限。
获取 Google SecOps 提取身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载提取身份验证文件。将该文件安全地保存在将安装 Bindplane Agent 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次选择 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane Agent
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
- 如需了解其他安装选项,请参阅此安装指南。
配置 Bindplane Agent 以提取 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml
文件。通常,在 Linux 上,该目录位于/etc/bindplane-agent/
目录中;在 Windows 上,则位于安装目录中。 - 使用文本编辑器(例如
nano
、vi
或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml
文件:receivers: udplog: # Replace with your specific IP and port listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Path to the ingestion authentication file creds: '/path/to/your/ingestion-auth.json' # Your Chronicle customer ID customer_id: 'your_customer_id' endpoint: malachiteingestion-pa.googleapis.com ingestion_labels: log_type: SYSLOG namespace: radware_waf raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
- 根据基础架构中的需要替换端口和 IP 地址。
- 将
<customer_id>
替换为实际的客户 ID。 - 在获取 Google SecOps 提取身份验证文件部分中,将
/path/to/ingestion-authentication-file.json
更新为身份验证文件的保存路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent
如需在 Windows 中重启 Bindplane Agent,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
配置 Radware AppWall WAF
如需完成这些任务,请执行以下三项配置:
- 使用 Vision Reporter 配置 AppWall 独立版。
- 使用 Vision Reporter 在 Alteon 中配置集成的 AppWall(在事件详情中添加 HTTP 请求数据)。
- 配置 Vision Reporter 以将日志发送到 Bindplane 代理。
使用 Vision Reporter 配置 AppWall 独立版
- 使用管理员凭据登录 Radware WAF 控制台。
- 依次前往配置 > 服务 > 视觉支持 > 视觉报告程序。
- 选中将事件发送到 Vision Reporter 复选框,以启用日志记录。
- Vision Reporter 地址:输入 Vision Reporter 的 IP 地址。
- 端口:输入端口号。
- 协议:选择 UDP 或 TCP。
- 如需包含 HTTP 响应数据,请选中将回复发送到 Vision Reporter 复选框。
- 点击保存。
使用 Vision Reporter 在 Alteon 中配置集成的 AppWall(对于 HTTP 请求数据日志记录,首选此方法)
- 使用管理员凭据登录 Radware WAF 控制台。
- 依次前往配置 > 安全性 > 网站安全性 > 可见性报告程序。
- 选中将事件发送到 Vision Reporter 复选框,以启用日志记录。
- 选中将事件发送到 Vision 报告程序复选框。
- Vision Reporter IP 地址:输入 Vision Reporter 的 IP 地址。
- 端口:输入一个较高的端口号。
- 安全:选择 UDP 或 TCP。
- 点击保存。
配置 Vision Reporter 以将日志发送到 Bindplane Agent
- 登录 Radware Vision Reporter 管理控制台。
- 依次前往配置 > SIEM 和外部日志记录。
- 点击 + Add New SIEM Destination。
- Destination Name(目标名称):输入 Google SecOps Forwarder。
- 日志导出类型:对于结构化日志记录,请选择 Syslog(RFC 5424 格式)。
- 远程 Syslog 服务器 IP 输入 Bindplane Agent 的 IP 地址。
- Port(端口):输入 Bindplane Agent 监听的端口(例如,UDP 为 514,TCP 为 601)。
- 协议:根据绑定平面配置,选择 UDP 或 TCP。
- 点击保存。
UDM 映射表
日志字段 | UDM 映射 | 逻辑 |
---|---|---|
action |
event.idm.read_only_udm.security_result.action |
如果 action 为“drop”,请将其设置为“BLOCK”。 |
attack_desc |
event.idm.read_only_udm.security_result.description |
直接映射。 |
attack_type |
event.idm.read_only_udm.security_result.threat_name |
直接映射。 |
command |
event.idm.read_only_udm.principal.process.command_line |
直接映射。 |
description |
event.idm.read_only_udm.security_result.description |
如果 attack_desc 为空,则直接映射。 |
dst_ip |
event.idm.read_only_udm.target.ip |
直接映射。 |
dst_port |
event.idm.read_only_udm.target.port |
直接映射,转换为整数。如果存在 username 但不存在 command ,则设置为“MACHINE”。从原始日志的 collection_time 字段复制。默认为“NETWORK_CONNECTION”。如果缺少 src_ip 或 dst_ip ,则将其设置为“GENERIC_EVENT”。如果 username 存在且 command 不存在,则设置为“USER_LOGIN”。可被基于 attack_id 的逻辑替换。设置为“RADWARE_FIREWALL”。从 product 字段映射而来。设置为“Radware”。 |
intermediary_ip |
event.idm.read_only_udm.intermediary.ip |
直接映射。 |
obv_ip |
event.idm.read_only_udm.observer.ip |
直接映射。 |
product |
event.idm.read_only_udm.metadata.product_name |
直接映射。 |
protocol_number_src |
event.idm.read_only_udm.network.ip_protocol |
使用 parse_ip_protocol.include 逻辑解析。 |
rule_id |
event.idm.read_only_udm.security_result.rule_id |
直接映射。根据 attack_id 的值派生。值包括“ACL_VIOLATION”“NETWORK_DENIAL_OF_SERVICE”“NETWORK_SUSPICIOUS”“NETWORK_RECON”。 |
src_ip |
event.idm.read_only_udm.principal.ip |
直接映射。 |
src_port |
event.idm.read_only_udm.principal.port |
直接映射,转换为整数。 |
ts |
event.idm.read_only_udm.metadata.event_timestamp |
已解析并转换为时间戳。 |
username |
event.idm.read_only_udm.target.user.userid |
如果 command 不存在,则直接映射。 |
username |
event.idm.read_only_udm.principal.user.userid |
如果存在 command ,则直接映射。 |
变化
2023-12-08
- 修改了 Grok 模式,以正确解析“src_ip”。
2023-11-23
- 添加了新的 Grok 模式,以支持新的未解析 SYSLOG 模式。
- 添加了对“ts”新日期格式的支持。
- 将“attack_type”“attack_desc”“protocol_number_src”“security_result”“action”“product”初始化为 null。
- 在映射到“event.idm.read_only_udm.metadata.product_name”之前,对“product”添加了 null 检查。
- 在映射到“event.idm.read_only_udm.security_result.rule_id”之前,对“rule_id”添加了 null 检查。
- 在映射到“event.idm.read_only_udm.security_result.description”之前,对“attack_desc”添加了 null 检查。
- 在映射到“event.idm.read_only_udm.security_result.threat_name”之前,对“attack_type”添加了 null 检查。
- 将“username”映射到“event.idm.read_only_udm.principal.user.userid”。
- 将“command”映射到“event.idm.read_only_udm.principal.process.command_line”
- 将“description”映射到“event.idm.read_only_udm.security_result.description”。
- 将“intermediary_ip”映射到“event.idm.read_only_udm.intermediary.ip”。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。